Интересное
Цифровая броня: основные стратегии информационной безопасности для крупного бизнеса
Количество кибератак в первом полугодии 2023-го выросло примерно вдвое по сравнению с аналогичным периодом прошлого года. Государство уже предпринимает меры для борьбы с развитием киберпреступлений: Минцифры пересмотрит стандарты подготовки специалистов в сфере кибербезопасности. Но бизнесу нужно защищаться самостоятельно, создавая многоуровневую защиту, отслеживая тренды, которым следуют преступники, и развивая цифровую грамотность сотрудников. Совместно с экспертами мы разбираемся с главными кибервызовами в 2024 году, стратегиями и средствами защиты корпоративных сетей.
Кибервызовы 2024 года
В наступившем году существующие методы кибератак продолжат развиваться и усложняться. По словам Ирины Зиновьевой, руководителя исследовательской группы отдела аналитики ИБ Positive Technologies, 2023 год ознаменовался эволюцией методов социальной инженерии: усложнением техник и активным использованием нейросетей. В арсенале мошенников есть модульные инструменты для создания убедительных фишинговых сайтов и переписок, а также многоэтапные атаки, совмещающие различные методы обмана. ИИ помогает поддерживать иллюзию осмысленного диалога с жертвой, генерировать убедительные фишинговые письма, создавать дипфейки голосов, изображений и видео.
Также получают развитие атаки на цепочки поставок, в том числе усиливается давление на ИТ-компании, чтобы проникать в организации, которые пользуются их продуктами и услугами. Одним из наиболее знаковых трендов стали атаки на системы защищённой передачи данных, вследствие чего было взломано множество компаний из различных отраслей, в том числе государственных.
По данным BI.ZONE, в 2023 году самой атакуемой отраслью в стране стал ритейл, на его долю пришлось 15% всех атак. Основные цели киберпреступников — выгрузка данных и распространение программ-вымогателей.
Хакерский софт дешевеет, что приводит к росту уровня автоматизации киберпреступлений. Растёт количество гибридных атак, которые объединяют шифрование данных с целью выкупа и похищение конфиденциальных данных.
При этом превалирующим типом ВПО, по наблюдениям BI.ZONE, в 2023 году стали стилеры. Именно они позволили злоумышленникам получать легитимные учётные данные и впоследствии реализовывать успешные атаки как с целью получения конфиденциальных данных, так и выкупа. Более того, злоумышленникам даже не всегда требовалось использовать это ВПО: часто логины и пароли, полученные с его помощью, можно просто купить за несколько долларов в даркнете.
При этом конкретно в России, по данным Positive Technologies доля программ-шпионов среди всего вредоносного ПО, используемого в атаках на российские организации, составила 45%, а шифровальщики применялись лишь в 27%.
Подобное соотношение обусловлено ростом уровня кибербезопасности российских организаций, что помогает эффективно пресекать атаки шифровальщиков, а также уже отмеченным трендом на разрушительные атаки.
Кроме того, Россия была чуть менее подвержена кибератакам из-за склонности компаний хранить важную информацию в закрытом контуре. Однако развитие облачных технологий может привести к росту количества подобных нападений на российские компании.
Векторы атаки и способы защиты
Люди
Фишинг и прочие методы социальной инженерии — один из самых актуальных векторов атак, тем более что подобные атаки сильно упростили автоматизация и лёгкий доступ к хакерскому софту. Развитие дистанционной работы, рост числа подрядчиков и субподрядчиков открывают новые возможности для атак через цепочки поставок или личные компьютеры сотрудников.
Способы защиты. Обучение сотрудников распознаванию фишинговых писем и других кибератак и способам противодействовать им. Также нужно включать личные компьютеры сотрудников, которые работают удалённо, в периметр кибербезопасности и принимать меры для их защиты.
Михаил Прохоренко,
руководитель управления по борьбе с киберугрозами BI.ZONE:
Помимо обучения сотрудников, компаниям следует уделить внимание парольной политике. Очень часто атакующий может продвигаться внутри сети из-за слабых или популярных паролей. В российских организациях широко распространено требование периодически менять пароли и использовать спецсимволы. На деле это усложняет пользователям жизнь, и они используют более короткие и, следовательно, слабые пароли. Мы рекомендуем отказаться от этих требований и учить сотрудников устанавливать разные пароли для разных сервисов и соцсетей, прибегать к парольным фразам вместо паролей (securitylovespassphrases) и внедрять двухфакторную аутентификацию.
Инфраструктура
Глобализация бизнеса и развитие формата работы на аутсорсе раздвигают границы периметра безопасности. У злоумышленников появляются возможности для атак через открытое ПО, облачные сервисы, API.
Способы защиты. Нужны проверки кода открытого ПО и API, защита облачных систем, систем удалённого доступа. Необходим контроль программного обеспечения, поступающего от вендоров.
Эксперты BI.ZONE советуют в первую очередь сосредоточиться на сегментации внутри сети и непрерывном контроле внешнего периметра с помощью специальных сервисов. А чтобы ещё больше усложнить продвижение злоумышленника внутри сети, стоить внедрить полноценный контроль доступа, основанный на принципе нулевого доверия (Zero Trust). Что касается приложений и сервисов, необходимо проводить внешний анализ защищённости и регулярное обновление компонентов.
Бизнес-контакты
Поставщики, подрядчики и субподрядчики, развитие цепочек поставок открывают новые уязвимые места бизнеса. Защита мелких компаний обычно намного слабее, они уязвимы для атак, но зачастую обладают доступом в периметр кибербезопасности крупного бизнеса.
Способы защиты. Проверка контрагентов — важный элемент защиты, которому нужно уделять повышенное внимание. Также важно создать систему контроля доступа, которая защитит данные от чужого интереса.
Михаил Прохоренко,
руководитель управления по борьбе с киберугрозами BI.ZONE:
Ужесточать контроль доступа для подрядчиков — важный шаг в защите компании. Нужно требовать персонифицированный доступ и внедрять двухфакторную аутентификацию. Также необходимо усиливать мониторинг за сессиями подрядчиков, выявлять аномальные соединения с нетипичных устройств и местоположения. Особенно эти меры касаются подрядчиков с привилегированными правами на серверах компании или серверах, хранящих ценные данные компании.
Гибкие стратегии российского бизнеса
В первую очередь нужно исходить из стратегии бизнеса, опирающейся на риск-ориентированный подход. Планирование происходит на разных уровнях: бизнес-процессов, информационных технологий, информационных систем (ИС) и ИТ-инфраструктуры.
«Для эффективной стратегии ИБ нужно создать систему функциональной и географической этапности, — говорит Сергей Солдатов, руководитель Центра мониторинга кибербезопасности “Лаборатории Касперского”. — Это позволит тиражировать практику информационной безопасности на дочерние и зависимые компании так, чтобы в любой момент времени обеспечивать максимальную защищённость бизнеса в целом».
Интегрированная информационная безопасность
Очень важно, отмечает Сергей Солдатов, вовлечение в обеспечение безопасности одновременно ИТ- и бизнес-подразделений: эффективна только интегрированная информационная безопасность. Для минимизации бизнес-рисков подразделению ИБ нужно понимать влияние каждого из них на информационные системы и ИТ-инфраструктуру. Важно составить карту бизнес-рисков совместно с ответственным подразделением.
В интегрированной ИБ организационный контроль является частью стандартных бизнес-процессов компании, а технологический — функций ИС и ИТ-инфраструктуры. Такая интеграция повышает шанс обнаружить и остановить атаку до нанесения ущерба. Первыми срабатывают меры защиты на уровне ИТ-инфраструктуры и ИС. Второй уровень защиты — системы контроля ИБ, интегрированные в корпоративные бизнес-процессы.
В системе интегрированной безопасности важна работа с персоналом. Нужно повышать осведомлённость сотрудников в вопросах безопасности. Это постоянная операционная деятельность, в которую входят:
Эшелонированный подход
Кроме «вертикального» подхода — от ИТ-инфраструктуры до корпоративных бизнес-процессов, — стратегия ИБ должна описывать и «горизонтальный», который затрагивает сферы технологического обеспечения, персонала и внутренних сервисов информационной безопасности, указывает Солдатов из «Лаборатории Касперского».
Все компьютерные атаки так или иначе начинаются на уровне ИТ-инфраструктуры, поэтому в технологической сфере следует реализовывать, поддерживать и постоянно совершенствовать эшелонированный подход:
Любая компьютерная атака — получение несанкционированного доступа, поэтому нужен подход «нулевого доверия» (Zero Trust) на уровне ИТ-инфраструктуры и в ИТ-системах, автоматизирующих корпоративные бизнес-процессы.
Гибридная модель
Из-за специфичной для крупного бизнеса огромной поверхности атаки часто проявляется нехватка ресурсов на обеспечение информационной безопасности. Важно фокусировать усилия на приоритетных направлениях и активно делегировать часть полномочий внешним структурам. Наиболее эффективна гибридная модель с распределением функций между внутренним центром компетенции и подрядчиком.
Общее правило, хотя и с исключениями: наиболее важные сервисы, завязанные на специфику бизнеса и требующие обширных внутренних коммуникаций, необходимо выполнять собственными силами. Слабо завязанные на работу внутренних бизнес-подразделений стандартные задачи можно передать поставщику услуг.
При большом сетевом периметре компрометация каждой точки может привести к развитию атаки на все предприятия крупного бизнеса. «Лаборатория Касперского» часто наблюдает инциденты в территориально распределённых корпорациях, в которых взлом регионального представительства позволяет атаковать центральный аппарат. Для предотвращения подобных сценариев нужно обеспечить одинаковый уровень ИБ во всех локациях.
По опыту Сергея Солдатова самый экономически целесообразный способ обеспечить единый уровень информационной безопасности — централизация функций. Необходимо создавать центры компетенции по операционной безопасности (security operations center), концентрируя в SOC новые внутренние сервисы ИБ.
Михаил Прохоренко,
руководитель управления по борьбе с киберугрозами BI.ZONE:
Вне зависимости от того, какую стратегию выбирает компания, одним из главных элементов её защиты остаётся повышение кибергигиены сотрудников, обучение способам противодействия фишингу, другим методам социальной инженерии, проведение тренингов и специальных курсов.
Ресурсы для реализации стратегий
Каждая третья российская компания ощущает острый дефицит специалистов по кибербезопасности. В этой ситуации, считают эксперты, критически важно повышать квалификацию имеющихся кадров, использовать по максимуму существующий потенциал компании. Помочь здесь могут всевозможные готовые образовательные решения. Регулярные курсы и тренировки позволяют значительно увеличить уровень киберграмотности. По данным BI.ZONE, устойчивость сотрудников к фишингу может повыситься в девять раз.
Частично решить проблему с кадрами может развитие ИИ. В Positive Technologies отмечают тренд на использование генеративного искусственного интеллекта в целях информационной безопасности в качестве ассистента, в больших языковых моделях или поведенческом анализе.
Ещё одним важным инструментом и способом получить актуальную информацию об угрозах в системе ИБ становятся багбаунти-платформы. При таком подходе можно отдать на аутсорс проверку уязвимостей системы, экономя человеческий ресурс и позволяя частично нивелировать кадровый голод. По данным BI.ZONE, 41% приложений обладает слабыми инструментами защиты, а доступ к конфиденциальным данным при анализе безопасности удаётся получить более чем в половине случаев. Такая система, при которой «белым» хакерам платят деньги за найденные угрозы, привлекает к проверкам тысячи квалифицированных специалистов. Но оплачивается при этом только конкретный результат.